Des escrocs utilisent de faux QR codes pour voler vos mots de passe et votre argent.

Alors que les entreprises se sont tournées vers les codes QR pour les paiements sans contact pendant la pandémie, les escrocs ont saisi la tendance à voler de l’argent et des informations d’identification financières.

Les codes QR sont des raccourcis utiles vers des ressources en ligne via l’appareil photo d’un téléphone, mais les escrocs les falsifient maintenant pour diriger les victimes vers des pages de phishing et des escroqueries à la crypto-monnaie.

Les codes QR ou «Quick Response» connectent les scanners à des objets du monde réel depuis les années 1990, mais ont été largement adoptés pendant la pandémie alors que les entreprises passaient à la communication sans contact et aux paiements via des codes QR sur les menus des restaurants, les parcmètres et autres espaces publics. 

Mais les escrocs ciblent désormais la familiarité accrue du code QR en altérant les codes-barres pixélisés et en redirigeant les victimes vers des sites qui volent des identifiants et des informations financières, selon une alerte du FBI.

« Les entreprises utilisent légitimement les codes QR pour fournir un accès sans contact pratique et les ont utilisés plus fréquemment pendant la pandémie de COVID-19. Cependant, les cybercriminels profitent de cette technologie en dirigeant les scans de code QR vers des sites malveillants pour voler les données des victimes, en intégrant des logiciels malveillants pour gagner accéder à l’appareil de la victime et rediriger le paiement pour une utilisation cybercriminelle », note le FBI dans son alerte . 

Il ne cite aucun exemple récent d’escroqueries QR, mais suit l’utilisation de codes QR dans les e-mails de phishing pour voler les informations d’identification Microsoft 365 en octobre. Les codes QR étaient utiles aux attaquants car les images de codes-barres contournaient les filtres de messagerie qui utilisent des scanners d’URL pour bloquer les liens malveillants.

Le FBI a déclaré en octobre qu’il avait récemment commencé à  recevoir des rapports sur l’ utilisation de codes QR malveillants, en particulier dans les escroqueries à la crypto-monnaie. « Les transactions cryptographiques sont souvent effectuées via des codes QR associés à des comptes cryptographiques… ce qui facilite la tâche de ces transactions », a noté le FBI. 

« Ne scannez pas un code QR trouvé au hasard », a averti le FBI.  

Ars Technica a signalé que des escrocs  placent des autocollants de code QR frauduleux sur les parcomètres dans les grandes villes du Texas. Celles-ci visaient à inciter les gens à payer pour se garer sur un site Web frauduleux. L’élément d’ingénierie sociale était que les terminaux de parcomètres ont aujourd’hui fréquemment des panneaux avec des codes QR pour diriger les utilisateurs vers une application tierce de paiement de stationnement non urbaine. 

. « entreprise A offre aux clients un code QR les dirigeant vers un site où ils peuvent effectuer une transaction de paiement Toutefois, un cybercriminel peut remplacer le code destiné à un Tampered QR code et rediriger le: ce type d’escroquerie, aussi les adresses d’alerte du FBI paiement de l’expéditeur pour une utilisation cybercriminelle. »

Les codes QR peuvent également charger des logiciels malveillants pour voler des informations financières, puis retirer des fonds des comptes des victimes, prévient le FBI.

Il existe des parallèles entre le phishing par e-mail et les codes QR malveillants collés sur les espaces publics. Comment les gens savent-ils à qui faire confiance ? La formation de cybersensibilisation des employés indique généralement aux utilisateurs de ne pas cliquer sur les liens des e-mails non sollicités, mais ils le font toujours.     

Certains des conseils d’autodéfense du FBI mettent en garde contre les pratiques courantes lors de l’utilisation d’un code QR, mais le message général est de faire preuve de prudence lors de la saisie d’informations à partir d’un site Web accessible via un code QR.

« Les forces de l’ordre ne peuvent garantir la récupération des fonds perdus après le transfert », prévient-il.

Les conseils du FBI pour les utilisateurs de smartphones incluent : vérifiez l’URL après avoir scanné un code QR, car l’URL peut ressembler au site légitime ; être prudent lors de la saisie d’identifiants ou d’informations financières sur un site visité via un QR code ; évitez de télécharger une application à partir d’un code QR et utilisez plutôt une boutique d’applications officielle ; et appeler l’organisation si elle a envoyé une facture par e-mail, permettant le paiement via un code QR afin de vérifier son authenticité. 

De plus, ne téléchargez pas de scanner de code QR car la plupart des téléphones en ont un intégré à l’appareil photo. ( L’iPhone en a eu un en 2011 dans iOS 11 , les fabricants d’Android ayant rapidement emboîté le pas.) 

Enfin, évitez d’effectuer des paiements via un site accessible à partir d’un code QR, prévient le FBI. Au lieu de cela, entrez manuellement une URL connue et de confiance pour effectuer le paiement.